您好我只想知道如何将PEP的XACML 3.0请求与使用PDP的策略存储中存储的策略相匹配。我将如何针对存储在策略存储中的多个策略评估特定请求。
答案 0 :(得分:1)
XACML请求与存储在PDP策略存储中的策略的“Target”元素匹配。一旦策略匹配目标元素,则根据策略顺序评估那些匹配的策略(适用的策略)(根据策略存储的策略组合算法)来结合这些匹配的策略(适用的策略的规则)。如果PEP想要知道;对于给定的XACML请求,PEP策略匹配的是什么,PEP可以将“ReturnPolicyIdList”属性的XACML请求发送为“true”。
<Request xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" CombinedDecision="false" ReturnPolicyIdList="true">
然后XACML响应将返回XACML响应中匹配的策略。
答案 1 :(得分:0)
除了Asela的答案之外,我想补充一点,“策略存储”是特定于实现的。
Asela描述它的方式实质上意味着策略存储使用组合算法而不是目标来执行策略集。
答案 2 :(得分:0)
添加使用WSO2 Identity Server作为PDP的经验
因此,您可以在IS中添加多个策略文件。但是你必须给每个政策文件排名。
所以我认为,这些政策会按照我们提供的排名顺序进行验证,并且首先对目标元素匹配的任何政策进行首先评估。